Zusätzlich zu den in diesen Leitlinien dargelegten Grundsätzen gelten selbstverständlich alle Bestimmungen der DSGVO auch weiterhin für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung.
So möchte die CNPD insbesondere daran erinnern, dass, wenn der für die Verarbeitung Verantwortliche einen Dienstleister für die Installation oder Verwaltung der Videoüberwachungsanlage (z. B. ein Bewachungsunternehmen) einsetzt, dieser Dienstleister als Auftragsverarbeiter im Sinne von Art. 4 Abs. 8 DSGVO anzusehen ist, wenn er personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. In diesem Fall muss zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Auftragsverarbeitervertrag geschlossen werden, der die Kriterien des Artikels 28 DSGVO erfüllt.
Darüber hinaus möchte die CNPD die Verantwortlichen und Auftragsverarbeiter auf die Verpflichtung gemäß Artikel 32 DSGVO aufmerksam machen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten zu gewährleisten. Dies bedeutet insbesondere, dass
- Der Zugang zu den über das Videoüberwachungssystem erhobenen Daten ist auf diejenigen Personen zu beschränken, die im Rahmen ihrer Aufgaben im Hinblick auf die verfolgten Zwecke rechtmäßig Zugang zu diesen Daten benötigen.
- Der Zugang zu den Daten muss gesichert sein (z. B. durch ein sicheres Passwort und einen Benutzernamen), und jede Person, die Zugang zu den Daten hat, muss über ein individuelles Zugangskonto verfügen. Darüber hinaus muss ein Zugriffsprotokoll zur Verfügung stehen, damit im Falle eines Missbrauchs nachvollzogen werden kann, wer auf die Daten zugegriffen hat und welche Daten von diesen Personen abgerufen wurden.
Für weitere Empfehlungen, auch zu den Rechten betroffener Personen, verweist die CNPD auf die Leitlinien 3/2019 des EDSB zur Verarbeitung personenbezogener Daten durch Videogeräte.[1]
Darüber hinaus möchte die CNPD daran erinnern, dass, wenn ein Auftragsverarbeiter (z. B. ein Bewachungsunternehmen) an der Videoüberwachung beteiligt ist, ein Unterauftragsvertrag geschlossen werden muss, der die Kriterien von Artikel 28 DSGVO erfüllt. Weitere Informationen über die Vergabe von Unteraufträgen finden Sie auf der Website der CNPD.[2]
Schließlich möchte die CNPD die für die Verarbeitung Verantwortlichen auf die Bedeutung der Frage aufmerksam machen, in welchem Land die vom Videoüberwachungssystem aufgenommenen Bilder gespeichert werden, unabhängig davon, ob diese Speicherung vom für die Verarbeitung Verantwortlichen selbst oder von seinem Auftragsverarbeiter vorgenommen wird (z. B. im Falle eines Auftragsverarbeiters, der eine Lösung mit Speicherung der Bilder in der Cloud anbietet). Wenn die Bilder in ein Land außerhalb der Europäischen Union übertragen werden, muss der für die Verarbeitung Verantwortliche die Anforderungen der DSGVO in Bezug auf die Übermittlung von Daten in Drittländer erfüllen. Weitere Informationen finden Sie auf der Website der CNPD.[3]
--------------------------------------------------------------------------------------------------------
[1] Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, abrufbar unter: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_de
[2] https://cnpd.public.lu/de/profis/obligations/subunternehmer.html
[3] https://cnpd.public.lu/de/thematische Dossiers/internationale Transfers-personenbezogene Daten.html